IT-Sicherheit

Cyberattacke – und dann?‎

Sabotage, Datendiebstahl, Spionage – bei elektronischen Angriffen gilt es, schnell und richtig zu reagieren. Spezialisten bei Polizei und Verfassungsschutz unterstützen betroffene Unternehmen dabei. EVA ELISABETH ERNST

Shot from the Back to Hooded Hacker Breaking into Corporate Data Servers from His Underground Hideout. Place Has Dark Atmosphere, Multiple Displays, Cables Everywhere.
© Gorodenkoff Productions OU Angriff auf das IT-System - schon beim ersten Verdacht reagieren

Cyberattacke – das klingt nach „Star Wars“ und Science-Fiction. Dabei stellen Angriffe aus dem Internet eine durchaus reale Gefahr für die Wirtschaft dar. In den vergangenen beiden Jahren wurden sieben von zehn Industrieunternehmen in Deutschland Opfer von solchen Übergriffen. Jedes fünfte geht davon aus, dass es betroffen war. Zu diesem Ergebnis kommt eine im September 2018 veröffentlichte Studie des Digitalverbands Bitkom, für die 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen befragt wurden. „Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage sind keine seltenen Einzelfälle, sondern ein Massenphänomen“, betont Thomas Haldenwang (58), Vizepräsident des Bundesamts für Verfassungsschutz (BfV). Und sie kommen nicht nur in der Industrie vor.

Spear-Phishing und Ransomware

Zu den Cyberattacken zählt zum Beispiel das sogenannte Spear-Phishing, bei dem Hacker mit zielgerichteten Mails Mitarbeiter dazu bewegen, auf verseuchte Anhänge oder Links zu klicken. Besonders gefährlich ist dies in Kombination mit sogenannter Ransomware: Dabei werden Schadprogramme in die IT-Netzwerke von Unternehmen eingeschleust, die dessen Zugriff auf die eigenen Systeme und Daten blockieren. Erst nach Zahlung eines Lösegelds erhält das Unternehmen einen Entschlüsselungscode.

Diverse Angriffsszenarien

Prominentes Beispiel war die Ransomware WannaCry, die im Mai 2017 Anzeigetafeln und Videoüberwachung der Deutschen Bahn AG lahmlegte. Beim CEO-Fraud wiederum tricksen Cyberkriminelle mit fingierten Mails und Anrufen der eigenen Geschäftsführung, um die Überweisung hoher Geldbeträge zu veranlassen. Auch Denial-of-Service-Attacken kommen immer häufiger vor. Dabei werden die IT-Netzwerke eines Unternehmens derart intensiv mit Anfragen oder Bestellungen geflutet, dass sie ihre Dienste nicht mehr wie gewohnt zur Verfügung stellen können. Es gibt aber auch ganz klassischen Datendiebstahl und die missbräuchliche Nutzung oder Veröffentlichung dieser Daten. Die Aufzählung gruseliger Cyberattacken ließe sich beliebig fortsetzen. Dass Unternehmen größten Wert auf den Schutz ihrer IT-Systeme legen sollten, liegt da auf der Hand.

Zentrale Anlaufstelle

Doch was ist zu tun, wenn ein Unternehmen trotz aller Vorsichtsmaßnahmen Opfer eines Angriffs geworden ist oder die IT-Experten ungewöhnliche Prozesse und Aktivitäten im Unternehmensnetzwerk feststellen? „Grundsätzlich sollten Unternehmen jeden Anfangsverdacht bei der Polizei, konkret bei der Zentralen Ansprechstelle Cybercrime, kurz ZAC, melden“, sagt Werner Kretz (51), Erster Kriminalhauptkommissar beim Bayerischen Landeskriminalamt.

Die ZAC sei der „Single Point of Contact“ der bayerischen Polizei für alle Unternehmen, Organisationen und Institutionen. Bei Cybercrime-Vorfällen nimmt sie eine Vermittler- und Beraterrolle wahr und ist als Ersthelfer Ansprechpartner für die Wirtschaft und andere öffentliche und nichtöffentliche Stellen. Die Mitarbeiter der ZAC sind Polizeivollzugsbeamte und unterliegen dem sogenannten Legalitätsprinzip: Erhalten sie Kenntnis von einer Straftat, sind sie verpflichtet, sie zu verfolgen und Anzeige zu erstatten.

Eine Verpflichtung, die Polizei bei einem Cyberangriff zu informieren, besteht dagegen nicht. „Leider sehen viele Unternehmen aufgrund von Vorurteilen davon ab, bei einem Cybercrime Anzeige bei der Polizei zu erstatten“, bedauert Kretz. „Wir führen unsere Ermittlungstätigkeiten möglichst diskret durch, um Imageschäden für das betroffene Unternehmen zu verhindern. Unsere Forensiker unterstützen dabei, Kopien des betroffenen Systems zu erstellen. Dadurch sichern sie Spuren und Hinweise gerichtsfest, ohne dass Firmenrechner sichergestellt werden müssen.“

Abschreckende Wirkung

Kretz weist darauf hin, dass die Ermittlung, Festnahme und Anklage von Straftätern eine abschreckende Wirkung auf potenzielle Nachahmer oder Wiederholungstäter besitzen und damit einen wichtigen Beitrag zur Sicherheit im Internet leisten. Darüber hinaus helfen anonymisierte Erkenntnisse aus Strafverfahren den Sicherheits- und Strafverfolgungsbehörden bei der Optimierung bestehender und der Entwicklung neuer Präventions- und Bekämpfungsstrategien. „Wir können allerdings nur die Straftaten aufklären, von denen wir Kenntnis erhalten“, sagt Kretz.

Es gibt noch eine weitere Anlaufstelle für bayerische Unternehmen, die Opfer einer elektronischen Attacke geworden sind oder dies befürchten: das Cyber-Allianz-Zentrum Bayern, kurz CAZ, im Bayerischen Landesamt für Verfassungsschutz. „Wir unterstützen Unternehmen bei der Einordnung von IT-Vorfällen und sehen uns quasi als Eingangstür zu den Sicherheitsbehörden“, erklärt CAZ-Leiter Michael George (49). „Wir sind nicht dazu verpflichtet, die Strafverfolgungsbehörden einzuschalten. Unternehmen, die sich bei uns melden, können wir auf Wunsch Vertraulichkeit und Anonymität zusichern.“ Der Verfassungsschutz ist allerdings nicht für die Bekämpfung von Cybercrime zuständig, sondern für die Abwehr von Spionagetätigkeiten ausländischer Nachrichtendienste.

Wirtschaftsspionage, Sabotage

Doch selbst wenn ein elektronischer Angriff auf den ersten Blick nach Cybercrime aussieht, kann Wirtschaftsspionage dahinterstecken. „So könnte ein Verschlüsselungstrojaner, mit dem Unbekannte Lösegeld erpressen möchten, durchaus einen Sabotagehintergrund haben, um Industrieanlagen oder Infrastruktur lahmzulegen“, erklärt der CAZ-Leiter.

Das betroffene Unternehmen erhält vom CAZ nach forensischer Analyse und nachrichtendienstlicher Bewertung des Vorfalls eine Rückmeldung mit Handlungsempfehlungen. „Wir prüfen, analysieren und bewerten, wie der Angriff durchgeführt wurde, und ermitteln, soweit möglich, wer im Hintergrund tätig war“, sagt George. Die Attacke selbst stoppen die CAZ-Experten nicht, sie bieten den Firmen jedoch Hilfe zur Selbsthilfe. „Wir sind quasi die Brandermittler – nicht die Feuerwehr“, beschreibt George die Rolle des Cyber-Allianz-Zentrums. Falls die Analysen ergeben, dass es sich um eine bislang unbekannte Masche handelt, warnt das CAZ andere Unternehmen der jeweiligen Branche, um weitere Schäden zu verhindern.